郭夢(mèng)佳 劉嘉亨

摘? ?要：移動(dòng)代理由于其靈活、移動(dòng)、自治等特性被廣泛應(yīng)用，但對(duì)移動(dòng)代理的安全性問(wèn)題研究仍不充分。文章針對(duì)移動(dòng)代理不同方面的安全問(wèn)題加以分析，針對(duì)性地提出安全保護(hù)方案，為移動(dòng)代理的進(jìn)一步充分應(yīng)用給出新思路。通過(guò)提高移動(dòng)代理安全性，使移動(dòng)代理技術(shù)在降低網(wǎng)絡(luò)負(fù)載、減小所占帶寬、提高系統(tǒng)效率等方面發(fā)揮更大效用。

關(guān)鍵詞：移動(dòng)代理;安全需求;安全策略

移動(dòng)代理技術(shù)具有主動(dòng)性、移動(dòng)性、智能性、自主性、協(xié)作性、通信性等特性[1]，被廣泛應(yīng)用在電子商務(wù)、云環(huán)境計(jì)算、無(wú)線傳感器網(wǎng)絡(luò)（Wireless Sensor Network，WSN）、移動(dòng)目標(biāo)防御等諸多領(lǐng)域。移動(dòng)代理技術(shù)屬于一種分布式計(jì)算技術(shù)，可以被部署在特定任務(wù)環(huán)境下執(zhí)行特定任務(wù)，移動(dòng)代理實(shí)質(zhì)是一系列的程序代碼，采用移動(dòng)代理技術(shù)將整個(gè)網(wǎng)絡(luò)上的能量消耗均衡地分配到各個(gè)節(jié)點(diǎn)，避免了單個(gè)節(jié)點(diǎn)因承載過(guò)多而死亡的可能。移動(dòng)代理技術(shù)可以降低數(shù)據(jù)流通量進(jìn)而減小能耗，避免不必要的資源浪費(fèi)，彌補(bǔ)系統(tǒng)負(fù)載均衡方面的缺陷。

移動(dòng)代理應(yīng)用在無(wú)線傳感器網(wǎng)絡(luò)中，對(duì)于延長(zhǎng)網(wǎng)絡(luò)生存期、減小能耗、降低數(shù)據(jù)冗余、增加系統(tǒng)可靠性有著顯著效果。移動(dòng)代理應(yīng)用到網(wǎng)絡(luò)存儲(chǔ)調(diào)度應(yīng)用中，可通過(guò)對(duì)各移動(dòng)代理的優(yōu)先級(jí)、產(chǎn)生時(shí)序、內(nèi)部結(jié)構(gòu)、和存儲(chǔ)可用性等指標(biāo)加以設(shè)置，確保移動(dòng)代理派遣次序更加科學(xué)、合理[2]。移動(dòng)代理在移動(dòng)目標(biāo)防御方面的應(yīng)用保障了客戶與服務(wù)器間的連接關(guān)系，使系統(tǒng)的防御性更高，防御更輕便、靈活。其可以根據(jù)被分派的任務(wù)在網(wǎng)絡(luò)中自主移動(dòng)，輕松完成要執(zhí)行的任務(wù)，因此，移動(dòng)代理技術(shù)在Internet中有著長(zhǎng)期、良好的應(yīng)用，但其應(yīng)用依賴于安全的環(huán)境，保證移動(dòng)代理的安全是使用移動(dòng)代理的基礎(chǔ)。

1? ? 移動(dòng)代理的基本結(jié)構(gòu)及安全性需求

移動(dòng)代理是指能在網(wǎng)絡(luò)節(jié)點(diǎn)間自主移動(dòng)執(zhí)行某項(xiàng)任務(wù)的程序[3]，其是一種計(jì)算機(jī)軟件實(shí)體，能夠在網(wǎng)絡(luò)中自主在主機(jī)之間進(jìn)行遷移，并和代理或主機(jī)進(jìn)行交互。移動(dòng)代理技術(shù)是分布式技術(shù)與代理技術(shù)相結(jié)合的產(chǎn)物，實(shí)際是算法的載體。

1.1? 移動(dòng)代理的基本結(jié)構(gòu)

不同的移動(dòng)代理由于執(zhí)行不同的任務(wù)，內(nèi)部結(jié)構(gòu)要求也不同。如圖1所示，移動(dòng)代理的基本結(jié)構(gòu)由以下模塊構(gòu)成：

（1）外部接口模塊，負(fù)責(zé)移動(dòng)代理與服務(wù)器之間的連接交互，是移動(dòng)代理的對(duì)外交流窗口，也是移動(dòng)代理必不可少的組成部分。

（2）代理識(shí)別模塊，用于移動(dòng)代理的身份標(biāo)識(shí)，每個(gè)移動(dòng)代理有且僅有一個(gè)特定ID，目的是方便進(jìn)行代理管理，符合代理安全性的要求。代理服務(wù)器根據(jù)移動(dòng)代理ID識(shí)別查找相應(yīng)移動(dòng)代理。代理識(shí)別模塊還用來(lái)識(shí)別移動(dòng)代理的實(shí)時(shí)相關(guān)狀態(tài)。

（3）處理決策模塊，存儲(chǔ)移動(dòng)代理的工作任務(wù)，對(duì)移動(dòng)代理所處狀態(tài)進(jìn)行判斷，決定移動(dòng)代理的任務(wù)執(zhí)行，如在移動(dòng)目標(biāo)防御中決定代理與客戶的連接狀態(tài)。

（4）地址列表模塊，用以決定移動(dòng)代理的實(shí)時(shí)位置，移動(dòng)代理根據(jù)地址列表四處移動(dòng)，并按照各自功能執(zhí)行相應(yīng)任務(wù)。

（5）管理模塊，用于統(tǒng)籌管理移動(dòng)代理服務(wù)器的其他模塊，使各模塊間統(tǒng)一、協(xié)調(diào)地完成工作。

1.2? 移動(dòng)代理的安全性需求

解決好移動(dòng)代理的安全性問(wèn)題，才能使移動(dòng)代理得到有效、充分、廣泛的利用。移動(dòng)代理對(duì)安全性問(wèn)題有完整性、保密性、匿名性、可用性、可核查性等需求[4]。

（1）完整性：即保證移動(dòng)代理不被篡改。一旦移動(dòng)代理被惡意篡改將影響整個(gè)系統(tǒng)的安全，因此應(yīng)對(duì)代理平臺(tái)加以保護(hù)，防止代理代碼、攜帶的數(shù)據(jù)、代理狀態(tài)被非法篡改，保證只有被授權(quán)的代理或進(jìn)程可執(zhí)行對(duì)代理的修改。

（2）保密性：移動(dòng)代理服務(wù)器必須保證代理攜帶數(shù)據(jù)的保密性，同時(shí)保證利用代理的通信通道具有保密性。即使監(jiān)聽(tīng)者對(duì)通信過(guò)程監(jiān)聽(tīng)也無(wú)法獲得移動(dòng)代理確切位置及代理所攜帶的數(shù)據(jù)。

（3）匿名性：安全的移動(dòng)代理應(yīng)該是對(duì)外匿名的，代理服務(wù)器要保證代理的匿名性并且保證可反向核查，一旦移動(dòng)代理出現(xiàn)問(wèn)題要確保平臺(tái)能追蹤查處出問(wèn)題的代理身份。

（4）可用性：代理服務(wù)器要保證移動(dòng)代理數(shù)據(jù)及服務(wù)的可用性。面對(duì)無(wú)用耗費(fèi)資源的請(qǐng)求具有危機(jī)處理機(jī)制，代理服務(wù)器還要保證具有并發(fā)處理機(jī)制。

（5）可核查性：對(duì)移動(dòng)代理采用行程記錄技術(shù)，保存移動(dòng)代理的運(yùn)行過(guò)程及路徑，保證出現(xiàn)問(wèn)題可核查。

2? ? 移動(dòng)代理的安全性問(wèn)題及相應(yīng)解決方案

2.1? 移動(dòng)代理安全性問(wèn)題

移動(dòng)代理常應(yīng)用于大型異構(gòu)網(wǎng)絡(luò)，可通過(guò)自主遷移完成特定任務(wù)，但移動(dòng)代理的安全性問(wèn)題限制了其廣泛應(yīng)用[5]。移動(dòng)代理攜帶數(shù)據(jù)在網(wǎng)絡(luò)中傳遞信息，會(huì)面臨諸多不確定的未知因素，因此無(wú)論是移動(dòng)代理本身還是其所攜帶的有用數(shù)據(jù)，都存在諸多安全威脅。移動(dòng)代理的正常運(yùn)行依賴于健康的運(yùn)行環(huán)境，但移動(dòng)代理系統(tǒng)允許不同的代理程序運(yùn)行，給運(yùn)行環(huán)境帶來(lái)了風(fēng)險(xiǎn)。移動(dòng)代理在移動(dòng)過(guò)程中?？吭诓煌鳈C(jī)環(huán)境中，使得主機(jī)會(huì)面臨惡意代理帶來(lái)的攻擊，惡意代理意圖破壞移動(dòng)代理環(huán)境進(jìn)而造成整個(gè)移動(dòng)代理系統(tǒng)的紊亂甚至癱瘓。因此，必須考慮代理運(yùn)行環(huán)境的安全性問(wèn)題，保證移動(dòng)代理能夠抵抗攻擊，并保證系統(tǒng)能夠正常運(yùn)行，給予移動(dòng)代理足夠的訪問(wèn)權(quán)限[6]。移動(dòng)代理的安全性問(wèn)題主要涉及以下方面：

（1）惡意主機(jī)攻擊移動(dòng)代理，由于移動(dòng)代理攜帶的數(shù)據(jù)及自身代碼對(duì)遠(yuǎn)程主機(jī)來(lái)說(shuō)是公開(kāi)的，當(dāng)主機(jī)對(duì)移動(dòng)代理存在惡意即可對(duì)其發(fā)出攻擊。首先，惡意主機(jī)可盜取代理攜帶的有用信息，如用戶信息、連接的服務(wù)器信息等;其次，惡意主機(jī)可修改甚至刪除代理攜帶的數(shù)據(jù);最后，惡意主機(jī)可破壞或終止移動(dòng)代理工作，阻止移動(dòng)代理執(zhí)行任務(wù)，甚至惡意主機(jī)可改寫(xiě)移動(dòng)代理程序，使受改寫(xiě)的移動(dòng)代理執(zhí)行惡意操作，破壞系統(tǒng)正常運(yùn)行。

（2）惡意代理攻擊執(zhí)行環(huán)境，由于移動(dòng)代理程序在主機(jī)上運(yùn)行，若移動(dòng)代理受到攻擊被改寫(xiě)，則此時(shí)移動(dòng)代理可成為攻擊源，對(duì)運(yùn)行環(huán)境造成威脅。此時(shí)被改寫(xiě)的惡意移動(dòng)代理可竊取敏感資料、破壞服務(wù)器系統(tǒng)資源、可對(duì)主機(jī)發(fā)起拒絕服務(wù)攻擊消耗系統(tǒng)資源，達(dá)到破壞執(zhí)行環(huán)境的目的。

（3）數(shù)據(jù)傳輸過(guò)程的安全性，當(dāng)移動(dòng)代理在網(wǎng)絡(luò)中自主移動(dòng)時(shí)，由于網(wǎng)絡(luò)的開(kāi)放性，所攜帶的程序代碼和數(shù)據(jù)會(huì)受到安全威脅。惡意攻擊者可捕獲移動(dòng)代理并進(jìn)行修改刪除等操作以達(dá)到破壞數(shù)據(jù)傳輸?shù)哪康?。從攻擊方式?lái)分，移動(dòng)代理可能面對(duì)被動(dòng)攻擊，攻擊者不對(duì)傳輸過(guò)程進(jìn)行干預(yù)，僅通過(guò)監(jiān)聽(tīng)獲取移動(dòng)代理攜帶的敏感信息，如服務(wù)器地址;攻擊者得不到傳輸過(guò)程的加密的數(shù)據(jù)，但可對(duì)傳送流量進(jìn)行分析，從而提取有價(jià)值的信息。移動(dòng)代理傳輸過(guò)程還可能面對(duì)主動(dòng)攻擊，攻擊者截取IP數(shù)據(jù)包并進(jìn)行惡意篡改，甚至進(jìn)行惡意刪除、替換[7]。

（4）移動(dòng)代理間的安全性問(wèn)題，移動(dòng)代理是一段代碼程序且移動(dòng)代理具有移動(dòng)性，代理間就可能由于系統(tǒng)故障出現(xiàn)程序錯(cuò)亂進(jìn)而引發(fā)安全問(wèn)題，同時(shí)，若有的移動(dòng)代理是惡意攻擊者，則可對(duì)無(wú)辜代理產(chǎn)生威脅，造成系統(tǒng)紊亂。

2.2? 解決方案

2.2.1? 惡意主機(jī)攻擊移動(dòng)代理的解決方案

（1）部分結(jié)果封裝技術(shù)，按照不同移動(dòng)代理不同的安全目標(biāo)相應(yīng)對(duì)代理活動(dòng)結(jié)果進(jìn)行有效封裝，一旦移動(dòng)代理被篡改，系統(tǒng)可隨時(shí)查出?？筛鶕?jù)移動(dòng)代理不同的任務(wù)類(lèi)型采取不同的封裝方法，如使用數(shù)字簽名保證完整性和可核查性。

（2）狀態(tài)驗(yàn)證法，移動(dòng)代理為完成特定任務(wù)，在網(wǎng)路節(jié)點(diǎn)間不斷遷移。一些移動(dòng)代理面臨被篡改的危害，為檢測(cè)移動(dòng)代理狀態(tài)，運(yùn)用狀態(tài)驗(yàn)證法檢測(cè)移動(dòng)代理自身運(yùn)行狀態(tài)，同時(shí)，檢測(cè)移動(dòng)代理是否被修改，提高了移動(dòng)代理及服務(wù)器的安全性。

2.2.2? 惡意代理攻擊執(zhí)行環(huán)境的解決方案

（1）沙箱模型，目的主要在于限制移動(dòng)代理對(duì)本地資源的訪問(wèn)權(quán)限，因?yàn)榇诉^(guò)程像是將移動(dòng)代理封裝在特定密閉的箱子運(yùn)行，因此被稱(chēng)為沙箱模型。通過(guò)限制移動(dòng)代理對(duì)本地資源的訪問(wèn)權(quán)限，從而減小對(duì)環(huán)境改變的可能。

（2）防篡改硬件，使用防篡改硬件智能卡，如JavaCard，使移動(dòng)代理處于安全的運(yùn)行環(huán)境下，外部實(shí)體無(wú)法篡改移動(dòng)代理內(nèi)部結(jié)構(gòu)及攜帶的信息，有效保護(hù)了移動(dòng)代理的完整性及隱私性。

2.2.3? 數(shù)據(jù)傳輸過(guò)程安全性問(wèn)題的解決方案

（1）執(zhí)行追蹤技術(shù)，為及時(shí)檢測(cè)到惡意主機(jī)對(duì)移動(dòng)代理的非授權(quán)修改，通過(guò)執(zhí)行追蹤技術(shù)對(duì)移動(dòng)代理的執(zhí)行過(guò)程進(jìn)行可靠記錄。該技術(shù)要求平臺(tái)保留代理正確的執(zhí)行過(guò)程，同時(shí)提交包含陳述標(biāo)識(shí)及平臺(tái)簽名信息的記錄密碼哈希值。保存移動(dòng)代理訪問(wèn)過(guò)的運(yùn)行環(huán)境記錄，可供后續(xù)查詢。

（2）安全路由選擇技術(shù)，假設(shè)安全可信的主機(jī)路由不進(jìn)行惡意操作，只對(duì)可信主機(jī)發(fā)起移動(dòng)代理請(qǐng)求。安全路由技術(shù)是通過(guò)安全路由策略對(duì)移動(dòng)代理行為加以控制，確保移動(dòng)代理只能訪問(wèn)可信任主機(jī)。

（3）行程記錄復(fù)制技術(shù)，為確保一個(gè)移動(dòng)代理安全到達(dá)目的地，減小惡意平臺(tái)的影響，采用行程記錄復(fù)制技術(shù)，攜帶有效的信任證書(shū)，擴(kuò)展容錯(cuò)能力，確保代理平臺(tái)的完整性。

2.2.4? 移動(dòng)代理間的安全性問(wèn)題解決方案

加密函數(shù)技術(shù)意在找到合適的函數(shù)加密方案，通過(guò)在代理平臺(tái)執(zhí)行不可辨別初始函數(shù)的加密函數(shù)程序。該技術(shù)與傳統(tǒng)加密技術(shù)不同，是通過(guò)對(duì)函數(shù)f加密以防止對(duì)f任意分析。移動(dòng)代理代碼采用加密技術(shù)，防止移動(dòng)代理間互相影響，保證了移動(dòng)代理服務(wù)器的安全、有序。

3? ? 結(jié)語(yǔ)

移動(dòng)代理的安全性問(wèn)題是移動(dòng)代理技術(shù)中非常重要的環(huán)節(jié)。但由于安全問(wèn)題分布面廣也最為復(fù)雜。本文對(duì)移動(dòng)代理可能出現(xiàn)的安全性問(wèn)題作出了全方位分析，并依次給出解決對(duì)策。由于移動(dòng)代理技術(shù)應(yīng)用廣泛，研究者可在具體應(yīng)用場(chǎng)景中有針對(duì)性地選擇或適當(dāng)修改移動(dòng)代理功能加以應(yīng)用，通過(guò)提高移動(dòng)代理的安全性來(lái)增強(qiáng)其利用價(jià)值。本文主要在理論方面對(duì)移動(dòng)代理安全性問(wèn)題進(jìn)行研究說(shuō)明，未來(lái)進(jìn)一步工作將著力于將移動(dòng)代理應(yīng)用到具體環(huán)境中，通過(guò)實(shí)驗(yàn)證明所提解決方案的可用性及安全性，使移動(dòng)代理技術(shù)在降低網(wǎng)絡(luò)負(fù)載、減小所占帶寬、提高系統(tǒng)效率方面發(fā)揮更大作用。

[參考文獻(xiàn)]

[1]周明鋒.基于移動(dòng)代理技術(shù)的電子商務(wù)研究[D].北京：北京郵電大學(xué)，2010.

[2]馬鑫，梁艷春.基于GASA和移動(dòng)代理的網(wǎng)絡(luò)存儲(chǔ)調(diào)度方法的研究[J].計(jì)算機(jī)研究與發(fā)展，2011（S1）：137-142.

[3]吳杰宏.移動(dòng)代理（MA）綜述[J].沈陽(yáng)航空工業(yè)學(xué)院學(xué)報(bào)，2004（5）：58-60.

[4]楊晨.移動(dòng)代理安全保障技術(shù)及標(biāo)準(zhǔn)化研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2011（3）：18-21.

[5]侍偉敏.基于HIBE的移動(dòng)代理安全方案[J].計(jì)算機(jī)應(yīng)用研究，2009（1）：342-343.

[6]王敏.移動(dòng)代理安全問(wèn)題研究[D].天津：天津理工大學(xué)，2012.

[7]韓建瓊.基于移動(dòng)代理的信任管理系統(tǒng)研究[D].西安：西安電子科技大學(xué)，2016.